谷歌质疑苹果利用条款掩饰/拖延iOS漏洞 因此不会参与苹果安全计划
谷歌旗下安全团队和安全实验室有多名经验丰富的安全专家,这些安全专家日常为各种软件和系统分析安全漏洞。
谷歌的目的在于通过漏洞研究和安全计划敦促开发商修复漏洞 , 例如在90天内若不修复漏洞则漏洞细节会被公布。
苹果在去年年底为iOS操作系统推出新的安全计划,按计划苹果会给专业的安全人士提供特制版iPhone进行研究。
按理说提供特制版设备进行研究应该是个好事情,不过因为条款问题目前谷歌安全团队已经拒绝参与苹果的计划。
谷歌安全团队发现若要参与苹果安全计划则需要同意相应条款,而在条款里苹果详细规定安全专家的权利与义务。
其中条款明确规定研究人员向苹果提交漏洞后,由苹果公司来确定或指定研究人员可以公开披露漏洞的具体日期。
而在漏洞修复前和苹果没有允许公布漏洞前,研究人员不得利用权限将漏洞提供给任何人或机构不得泄露漏洞等。
按照该计划条款实际上苹果就能够完全控制漏洞修复与披露过程,研究人员们则认为这是苹果让大家闭嘴的条款。
该条款之所以会引起争议主要是苹果利用条款限制漏洞披露时间,而不是像行业通行做法那样有个具体的时间点。
例如按谷歌安全实验室规定,所有漏洞都会在90天公布细节 , 无论开发商们是否修复到期后漏洞都会被完全公开。
谷歌利用这种策略来敦促开发商必须尽早修复漏洞,防止漏洞到期后未修复然后公开可能会引发大规模安全问题。
苹果的策略则是由苹果指定公开时间,如果苹果故意拖延不修复某个漏洞的话,研究人员也不能私自公开漏洞等。
研究人员认为这种策略会给苹果带来极大的控制权,甚至可能利用漏洞做其他研究而拖着、故意不修复安全漏洞。
基于以上考虑谷歌安全团队大部分安全专家已经表示不会参与苹果的新计划,他们将依然按照原计划研究和披露。
这样做的后果是可能无法获得苹果提供的高额漏洞奖金,也无法获得苹果提供的特制版的 iPhone 用于漏洞研究。
不过安全专家们依然认为这是值得的,毕竟在安全漏洞修复速度和重视度方面苹果已经遭到安全专家的多次指责。